Die wachsende Abhängigkeit von IT-Anbietern außerhalb der EU birgt enorme Risiken für Unternehmen und die öffentliche Hand, warnt BSI-Präsidentin Claudia Plattner. Um digitale Souveränität zu erlangen, empfiehlt sie eine Doppelstrategie.
„In Deutschland besteht ein immenser Digitalisierungsdruck in Unternehmen und insbesondere in der Verwaltung“, schreibt Plattner in einem Positionierungs-Statement des Bundesamts für Sicherheit in der Informationstechnik (BSI). Für eine sichere Digitalisierung brauche es digitale Souveränität. Diese aber sei zunehmend bedroht durch Cyber Dominance.
Die BSI-Chefin versteht darunter „die Einflussnahme durch digitale Produkte, indem sie Herstellern Zugriff auf Informationen und Kontrolle über Systeme ermöglichen“. Cyber Dominance entstehe insbesondere durch digitale Alltagsprodukte, die milliardenfach genutzt werden, darunter mobile Geräte, PC-Betriebssysteme oder auch Smart-Home-Lösungen. Gleiches gelte für Social-Media-Plattformen, Autos mit integrierten Kameras oder Solarpanels mit Wechselrichtern.
Besonders kritisch sieht die Security-Expertin den Einsatz von Cloud-Diensten: „Stand heute behalten Anbieter die Kontrolle über die bereitgestellten Infrastrukturen (Netzwerk, Server, Virtualisierung, etc.). Sie können Funktionen festlegen, Updates und Verfügbarkeit kontrollieren und - wenn sich ihre Kunden nicht entsprechend schützen - auch deren Daten einsehen.“
Diese Entwicklung berge zwei zentrale Risiken: Erstens drohe die technische Steuerung und Einflussnahme auf hierzulande produktiv eingesetzte Systeme durch Akteure außerhalb der EU. Zweitens könnten Daten von diesen Systemen aus der EU heraus abfließen.
Um die Risiken einzudämmen, empfiehlt das BSI eine Doppelstrategie: Zum einen müsse der EU-Markt und die eigene Digitalindustrie gestärkt und konkurrenzfähig werden. Zum anderen gelte es, internationale Produkte technisch so anzupassen und einzubetten, dass ein sicherer und selbstbestimmter Einsatz möglich wird. Plattner: „Ziel ist es, eine unkontrollierte technische Steuerung durch Akteure außerhalb der EU sowie Datenabfluss technisch unmöglich zu machen.“
Doch was bedeutet das in der Praxis? – Auch darauf hat die BSI-Chefin eine Antwort: „Die Aufgabe besteht nun darin, technische Kontrollschichten (Control Layer) zu konzipieren.“ Diese sollen eine eigenständige und exklusive Steuerung kritischer Technologien ermöglichen und Datenabfluss zuverlässig verhindern.
Für Cloud-Services, die in der EU genutzt werden, lägen die ersten konkreten Anforderungen auf der Hand, so Plattner. Kryptographische Verfahren etwa schützten vor Datenabflüssen an Dritte und auch vor dem Zugriff des Providers selbst, wenn Schlüssel- sowie Identitäts- und Zugriffsmanagement in der eigenen Hand lägen. Nutzer müssten zudem die an den Provider übertragenen (Telemetrie-)Daten einsehen und kontrollieren können.
In ihrem Statement nennt die Managerin eine Reihe weiterer Anforderungen und beschreibt zudem, wie das BSI Unternehmen und die öffentliche Hand in Sachen digitale Souveränität unterstützt.
((Den ausführlichen Artikel finden Sie hier: https://www.linkedin.com/pulse/positionierung-des-bsi-zu-digitaler-souver%C3%A4nit%C3%A4t-zeiten-plattner-squpe/))
Fotocredit: shutterstock/vectorfusionart
